인프런 커뮤니티 질문&답변
작성한 질문수
시나리오4 vmdk 불러오기 실패
해결된 질문
작성
·
108
·
수정됨
0
안녕하세요.
시나리오4 강의를 보면서 풀이 연습 도중
Autopsy으로 VM file인 Windows 11 x64.vmdk 선택 후 아래 에러 메시지와 같이 뜨면서 불러오지를 못하는 상황입니다.
"An Error occurred while opening the image: Error loading file system"
이 경우 어떻게 해결해야 하나요
?
답변 3
1
강사님께서 알려주신방법 외에도
FTK imager에서 "이미지 마운팅"기능을 활용한방법도 이용할수있는데, 학습에 도움되실까싶어서 관련 스샷 첨부해드립니다!
24회 시험 준비중이시라면 남은시간 잘 준비하셔서 좋은결과받으셨으면 좋겠습니다
저도 실기시험 준비중인데 화이팅해요 :)
>>방법요약
1. FTK imager프로그램에서
vmdk파일을 이미지 마운팅
Autopsy에서 select data source type
을 local disk 선택
( 주의사항: autopsy실행시 "관리자권한으로 실행" 필수 )
3.마운팅 되어있던 디스크중에서 basic data partition 이라고 뜨던 디스크선택( 또는 윈도우 설치 등 주요데이터 저장된 것으로 보이는 디스크 선택)
->autopsy 모듈선택 등 분석시작
>>방법상세 (스샷첨부)
FTK imager에서 이미지마운팅
위의 image mounting 클릭후 나오는 창에서, 파랑색 원으로 표시한 곳 클릭
(vmdk파일 선택해주면됩니다)
3.노랑색원으로표시한, mount버튼 클릭
마운트된 후 나타나는 "포맷여부관련"
취소 클릭!!!
Basic data partition이라고 보이는 곳에 "드라이브 문자" 확인
( 스샷에는 H: 로
되어있으나, 실습PC에서 다른문자를 부여할 수있기때문에 확인필수)
(위에 노랑형광펜 표시 해둔곳 처럼 보이는지점 을보면 되고, 드라이브문자 확인.
스샷에서는 H: 라고 부여받았음)
이제, 마운팅된 드라이브 중에서 basic data partition을 autopsy프로그램에서
분석하도록 합니다
(위와같이, Select Data Source Type 화면나올때
"Local Disk"를 선택)
그다음 나오는 창에서, 우측상단의 select disk 클릭
basic data partition에 해당하는 드라이브선택 (제 기준으로는 H: 였기
때문에
H:를 선택했습니다)
(이어서, OK버튼 클릭)
선택이 완료되었으면, 아래쪽에 Next클릭했을때 익숙한 화면(분석모듈선택 화면)이 나옵니다. 분석을진행하시면됩니다!
9.정상적으로 분석이 진행됨을 볼수있습니다.
*분석프로그램 버전
1) FTK imager 4.7.1.2
2) Autopsy 4.21.0
*실습할때 사용한 운영체제(OS)버전
Win 10
1
안녕하세요 seong sam님!
질문주신 문제는 autopsy에서 알 수 없는 이유로 에러가 나는것으로 추측이 됩니다.
이 문제는 제가 시나리오 4번을 올려드린 23회 시험 전에도 비슷한 문제로 고민하시는 분들이 계셨는데
그 때도 문제 해결을 위해서 찾아봤지만 해결을 못한 부분이었습니다.
그나마 우회하는(?) 방법이 vmdk 파일을 원본으로 raw(dd)로 재 이미징하여 하는 방법이 있었는데
이방법도 되는경우, 안되는경우가 있었습니다.
(과거 질문글 참고해주세요 ~
질문 주셔서 저도 다시 한번 해당 vmdk 파일을 Autopsy 4.22 버전을 이용해서 분석해보려고 했는데
저 역시 말씀하신 문제가 발생하는것을 확인했습니다.(작년에 문제를 확인했을때는 autopsy 이전 버전을 사용했었고, 강의에서 보시는것처럼 문제가 없었거든요)
다시 한번 이 문제를 해결하려고 알아보는 중이긴 하지만 명쾌한 답을 찾지 못하고 아직 찾는 중입니다.
Autopsy의 특성상 이러한 크고 작은 오류등이 있는 편인데 그에 대한 해답을 찾는것도 어려움이 있네요.
저도 조금 더 찾아보고 혹시라도 해결방법을 알게 된다면 추가로 답변을 드리도록 하겠습니다.
분석 프로그램의 문제다보니 제가 직접적으로 해결할 방법이 없어서 명쾌한 답을 드리지 못하는점 죄송합니다 ㅜ_ㅜ
0
안녕하세요, 인프런 AI 인턴입니다.
seong sam님께서 직면하신 문제는 Autopsy에서 vmdk 파일을 처리할 때 빈번히 발생하는 문제 중 하나입니다. 이와 관련된 기존 답변을 참고드리자면:
“vmdk 파일을 불러올 때 에러가 나는 경우, Autopsy는 기본적으로 가상 디스크보다 이미지 파일 분석에 초점을 두고 있기 때문에 파일 시스템을 인식하지 못할 수 있습니다.”
관련하여 vdmk 파일을 raw로 이미징하여도 Autopsy에서 분석 오류라는 질문에서 유사한 문제에 대한 답변이 있습니다. vmdk 파일을 FTK Imager로 raw 형식으로 변환하여 Autopsy로 불러오면 해결될 가능성이 있습니다.
vmdk 파일을 FTK Imager나 다른 이미지 생성 도구로 RAW 이미지로 변환하여 다시 시도해 보시길 권장합니다. 이렇게 하면 Autopsy가 파일 시스템을 올바르게 인식할 수 있습니다.
추가적으로 문제 해결이 되지 않거나 다른 의문점이 있다면, 교육 플랫폼에서 추가적인 질문을 통해 실시간으로 도움을 받을 수 있습니다.
이미지 변환 방법이나 다른 설정에서 어려움을 느끼신다면 질문을 통해 지식공유자께서도 직접 답변을 드릴 수 있을 것입니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
SHA 256님, 도움 말씀 감사합니다 !!!